Nul-dages fejl i haler er ikke til salg, siger sårbarhedsmægler

Et firma, der er specialiseret i at sælge information om softwaresårbarheder, har genoptaget en debat om håndteringen af ​​sådanne oplysninger, især når det vedrører værktøjer, der er fokuseret på personlige oplysninger.

Exodus Intelligence, der er baseret i Austin, Texas, tweetede mandag, og havde fundet flere sårbarheder i Tails, et operativsystem og pakke med applikationer, der er designet til at gøre det sværere at spore en brugers aktivitet online.

Exodus forsker og sælger information om softwaresårbarheder, en juridisk virksomhed, men som tiltrækker kritik for dens uigennemsigtige karakter og bekymrer sig over, hvordan regeringer eller andre enheder muligvis bruger informationen.

Selskabet har siden annonceret, at det vil levere en rapport med sårbarhedsoplysningerne til Tails 'udviklere ved udgangen af ​​denne uge. Exodus vil ikke dele disse oplysninger uden for virksomheden før da, skrev Aaron Portnoy, vicepræsident, i en e-mail-udveksling tirsdag med IDG News Service.

På spørgsmålet om Exodus foretager en særlig undtagelse for Tails, skrev Portnoy: "Vi vurderer enhver sårbarhed, vi behandler fra sag til sag, derfor er sårbarheden i Tails ikke en undtagelse, da vi ikke har nogen baseline-standard."

Tails er et Linux-baseret operativsystem, der bruger flere værktøjer til forbedring af privatlivets fred, såsom Tor for at gøre brugen af ​​internettet mere anonym. Det er designet til at blive brugt mens du er på farten, f.eks. På offentlige internetadgangspunkter, og betragtes som en af ​​de bedste, men ikke idiotsikre måder til at reducere at efterlade et digitalt fodaftryk på en computer.

Tweetet fra Exodus provokerede en reaktion fra Tails, som skrev på sin blog, at det ikke blev kontaktet før tweeten. Men Tails var tilfreds med, at det vil have chancen for at se informationen.

”Vi får at vide, at de ikke vil afsløre disse sårbarheder offentligt, før vi har rettet det, og brugere af Tails har haft en chance for at opgradere,” læste blogindlægget. "Vi mener, at dette er den rigtige proces til ansvarligt at afsløre sårbarheder, og vi ser virkelig frem til at læse denne rapport."

Portnoy sagde, at Exodus ikke udelukker visse former for software fra dens analyse, og at "vi fokuserer på ting, der er vidt udbredt."

Det var ikke klart, om det offentlige pres påvirkede Exodus 'beslutning om at videregive oplysningerne privat til Tails. Den måde, problemet blev behandlet på, genererede en stort set negativ reaktion mod Exodus på Twitter, hvor nogle beskyldte virksomheden for potentielt at sætte brugere i fare.

Portnoy bemærkede nogle tweets fra Christopher Soghoian, som er den største teknolog med tale-, privatlivs- og teknologiprojektet ved American Civil Liberties Union. Soghoian har længe været kritisk over for sårbarhedsmæglerbranchen.

Soghoian tog et stryg ved Portnoy og skrev ”Jeg er temmelig sikker på, at @aaronportnoy ikke er interesseret i at holde nogen i sikkerhed. Han er interesseret i at sælge fantastiske 0-dages kontante penge. ”

Portnoy sagde i en e-mail, at han forstod, hvorfor Tails 'udviklere “måske er blevet irriteret på grund af de hyperboliske reaktioner fra nogle af de mere stemmelige individer i udkanten af ​​denne industri, som var under indtryk af, at vi solgte informationen til andre.”

Med henvisning til Soghoian skrev Portnoy: "Når folk har op til 35.000 tilhængere, kan falske ideer let sprede sig uden noget forsøg på validering."

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.